国家标准计划《信息安全技术 工业控制系统风险评估实施指南》由 TC260（全国网络安全标准化技术委员会）归口 ，主管部门为国家标准化管理委员会。

主要起草单位 国家信息技术安全研究中心 、中国电力科学研究院 、中国电子技术标准化研究所 、无锡市同威科技有限公司 。

1. 目的 建立《工业控制系统风险评估实施指南》，指导我国国民经济重要工业领域的工业控制系统的安全防护工作，确保工业控制系统的安全性和可靠性，实现对工业控制系统安全防护的自主可控。

为了实现该目标，我国各工业行业要充分考虑工业控制系统的特殊性和不同等级的安全要求，认真梳理本单位工业控制系统系统的资产，从环境和人为因素分析工业控制系统系统面临的威胁，从技术和管理方面分析工业控制系统系统存在的脆弱性，结合现有安全措施，分析工业控制系统系统现存风险，平衡效益与成本，制定风险处置计划，将工业控制系统系统的残余风险控制在可接受的水平。

2. 意义 在工业控制系统标准体系中建立工业控制系统系统风险评估实施指南，将有利于建立和发展我国自主的工控业和相关的安全检测、评估和认证体系；有利于提高我国国民经济重要工业领域的信息安全防御能力，为国家整体信息安全环境奠基筑石。

1 范围 2 规范性引用文件 3 术语和定义 4 目标和原则 5 风险评估框架流程 5.1风险要素关系 5.2风险分析原理 5.3风险评估流程 5.4工作形式 5.5遵循的原则 6 风险评估实施流程 6.1风险评估的准备 6.2资产识别 6.3威胁识别 6.4脆弱性识别 6.5威胁利用脆弱性的关联关系 6.6已有安全措施的确认 6.7风险分析 6.8分析评估文件 7风险评估在工业控制系统及相关系统生命周期中的不同要求 7.1工业控制系统生命周期概述 7.2规划阶段的风险评估 7.3设计阶段的风险评估 7.4实施阶段的风险评估 7.5废弃阶段的风险评估 8风险评估方法 8.1 实验室测试评估 8.2 生产系统测试评估 8.3 渗透测试 8.4 组件测试评估 8.5 文档审查 8.6 功能和配置审查 8.6 员工访谈 附录A（规范性附录）资产价值的计算方法 A.1 使用矩阵法计算风险 A.2 使用相乘法计算风险 附录B（规范性附录）风险值的计算方法 附录C 工业控制系统概述 C.1 工业控制系统架构 C.2 工业控制系统主要资产及功能 C.3 工业控制系统与传统信息系统的主要差异 C.4 工业控制系统与控制系统 附录D 工业控制系统面临的信息安全风险 D.1 工业控制系统面临的威胁 D.2 工业控制系统主要脆弱性分析 D.3 传统信息系统安全威胁与防护措施对工业控制系统的影响 附录E 参考文献